Vous êtes sur la page 1sur 12

PROJET AUTHENTIFICATION WIFI PORTAIL CAPTIF

Ralis par : NKOUNKOU Stany

Introduction :

1.

Ds nos jours les rseaux jouent un rle trs important dans les diffrents domaines dutilisations,
ce pour sa il existe diffrentes mcanismes de scurit conu pour dtecter, prvenir et lutter contre
une attaque de scurit. Parmi les contre-mesures prise en compte on trouve lauthentification qui a
pour but de vrifier lidentit dont une entit personne ou machine se rclame. Gnralement,
lauthentification par login et mot de passe est actuellement le systme le plus couramment utilis
pour authentifier un utilisateur .Ce qui fait le sujet de notre projet.

Cahier des charges :

2.

Dans le cadre de ce projet on va essayer de raliser une maquette contenant :

un portail captif s'appuyant sur pfsense

l'authentification des utilisateurs s'appuiera sur :

un serveur FreeRadius sous unix , pfsense

interrogeant un annuaire LDAP sous unix interne de pfsense

On va aussi essayer d'tudier les aspects rseau et authentification en dcrivant les protocoles
utiliss (RADIUS, LDAP) ainsi que leur contexte d'utilisation traditionnel et leur utilisation dans le
cadre de notre maquette. On va aussi mener une tude critique des aspects scurit de la solution
mise en place dont le but est d'authentifier des utilisateurs se connectant en wifi sur un rseau wifi
ouvert et en protgeant le rseau et l'entreprise des abus
Notre maquette de processus est la suivante :
sachant qu' en ralit nous avons tout installer sur un seul serveur fsense
Fig1: maquette raliser

3.

Dfinition des protocoles en jeu :

PfSense est une distribution libre, open source personnalise de FreeBSD adapt pour une
utilisation en tant que pare-feu et routeur. En plus d'tre un puissant, plate-forme flexible pare-feu et
de routage, il comprend une longue liste de caractristiques connexes et un systme de paquets
permettant daugmenter encore l'volutivit sans ajouter la mtorisation et failles de scurit
potentielles la distribution de base. pfSense est un projet populaire avec plus de 1 million de
tlchargements depuis sa cration, et prouv dans d'innombrables installations allant de petits
rseaux domestiques protger un PC et une Xbox pour les grandes entreprises, les universits et
autres organisations de protection des milliers de priphriques rseau.

PfSense ne fait pas seulement firewall, elle offre toute une panoplie de services rseaux. Parmi
lesquels :

Pare-feu : indispensable pour une distribution "firewall". Le firewall est celui de FreeBSD,
savoir PacketFilter.

Table d'tat : La table d'tat ("State Table") contient les informations sur les connexions
rseaux. Cela permet d'avoir un aperu des connexions et surtout de crer des rgles par
exemple sur le nombre de connexion maximum pour un hte.

Traduction d'adresses rseaux (NAT) : Permet de joindre une machine situe sur le LAN
partir de l'extrieur.

VPN : permet la cration de VPN IpSec, OpenVPN ou PPTP.

Serveur DHCP.

Serveur DNS et DNS dynamiques.

Portail Captif.

Redondance et quilibrage de charge.

Graphes pour la charge systme et rseaux.

Dans notre projet on va utiliser le service de portail captif qui est une fonction de pfSense
permettant de scuriser un rseau en exigeant un nom d'utilisateur et mot de passe il sagit de forcer
les clients HTTP d'un rseau de consultation afficher une page web spciale (le plus souvent dans
un but d'authentification) avant d'accder Internet normalement.
On va utiliser l'authentification, ce qui peut tre ralise en utilisant la gestion pfSense de
l'utilisateur intgr, ou un serveur d'authentification externe comme un serveur RADIUS, qui est le
cas pour notre projet.

a.

Free Radius:

RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant
de grer l'authentification des utilisateurs.
Il est dfinit comme un serveur d'authentification distance, qui permet de centraliser des donnes
dauthentification et ainsi de grer les compte utilisateur pour des services distants. Cest aussi pour
grer les sessions autrement dit les accounting (start/stop). Il s'agit des journaux enregistrant les
connexions tablies par les utilisateurs, ainsi que les volumes transfrs pendant cette connexion.
Ces donnes permettent de retrouver un utilisateur qui piraterait un site extrieur.
Dans le cadre de notre projet on va utiliser FreeRADIUS qui est un serveur RADIUS libre. Il offre
une alternative aux autres serveurs d'entreprise RADIUS, et est un des serveurs RADIUS les plus
modulaires et riches en fonctionnalits disponibles aujourd'hui. FreeRADIUS est, entre autre, utilis
par des fournisseurs daccs linternet pour authentifier leurs clients et leur communiquer une
configuration IP. Il est considr comme le serveur le plus utilis dans le monde. Il convient autant
aux systmes embarqus avec peu de mmoire qu'aux systmes avec plusieurs millions
d'utilisateurs.
Le poste utilisateur transmet une requte d'accs un client RADIUS pour entrer sur le rseau. Ce
client se charge de demander les informations identifiant l'utilisateur : le nom d'utilisateur (login) et
le mot de passe par exemple.
Le client RADIUS gnre selon le protocole une requte Access-Request contenant les informations
d'authentification. Le serveur RADIUS peut traiter lui-mme cette requte ou la traite en accdant si
ncessaire une base externe tel que un annuaire OpenLDAP, qui sera le cas trait dans notre
projet.

LDAP:
OpenLDAP est un serveur LDAP Open source trs rpandu sur plate-forme Unix.
LDAP (Lightweight Directory Access Protocol) est l'origine un protocole permettant
l'interrogation et la modification des services d'annuaire. Ce protocole repose sur TCP/IP. Il a
cependant volu pour reprsenter une norme pour les systmes d'annuaires, incluant un modle de
donnes, un modle de nommage, un modle fonctionnel bas sur le protocole LDAP, un modle de
scurit et un modle de rplication. Un annuaire LDAP respecte gnralement le modle X.500
dict par l'UIT-T : c'est une structure arborescente dont chacun des nuds est constitu d'attributs
associs leurs valeurs.
Toute l'authentification des utilisateurs est faite par l'annuaire LDAP. Il est le maillon cl de la
chane d'authentification, donc il doit tre fiable, scuris et performant.
a. Configuration client pfsense:

On commence par linstallation de pfSense et on configure les des interfaces rseaux. On remarque
que FreeBSD dtecte le nombre de carte rseau, et y attribue des noms eM0 et eM1 dans notre ca.
On choisira donc quelle interface sera le LAN et l'autre le WAN :

LAN: eM1

WAN: eM0

Tout ceci peut se faire trs simplement avec la console pfSense et on aura linterface suivante
comme illustre cette figure si dessous :

Fig 3: interface pfsense

Puis, laide de la machine client sur le LAN, on accde linterface web de pfSense.
Par dfaut, lutilisateur est admin et le mot de passe est pfsense. Une fois connect on aura
linterface suivante :

Fig 4: interface web de pfsense


On passe maintenant au service du portail captif, on se rend dans lentre Captive Portal du menu
Services. On modifie les options suivantes
Enable captive portal coch
Interfaces : LAN
Voici si dessous linterface quon aura :

puis on saisit les identifiants

l nous voyons les deux interfaces physiques wan et lan , ainsi que les interfaces virtuelles OPT1 et
OPT 2 pour faire passer les vlan wifi 100 visiteurs et 101

cration de vlan

Installation de freeradius ainsi que sa base ldap sur pfsense

l on va aller dans le menu de configuration freeeradius

on configure :
- les interfaces
-le nas client
- on cre les comptes utilisateurs

cration du ssid visiteurs vlan 100

Configuration du dhcp pour le vlan 100 interface OPT1 : 172.16.100.1

CONFIGURATION du portail captif

test de connexion a partir du rsau wifi

En rentrant l'indentifiant et le mot passe 'test' cre dans la base ldap de freeradius
on a accs a internet et on voit l'utilisateur apparatre sur notre interface d'administration Pfsense

Vous aimerez peut-être aussi